プログラム開発業務に携わる全ての方々に向けて、脆弱性のない、安全なソフトウエア開発のためのセミナー、コーディングのルールやそのマテリアル、書籍に関する情報を紹介しています。 セミナー Android セキュアコーディングセミナー資料(英語版) Java セキュアコーディングセミナー資料 C/C++ セキュアコーディングセミナー資料 セキュアコーディングスタンダード CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 書籍 C/C++ セキュアコーディング C/C++ セキュアコーディング 第2版 CERT Cセキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle版 セキュアなソフトウエア開発を支援する資料 クロスサイトリクエストフォージェリ(CSRF)とその対策 Java アプ

2019年2月12日 (現地時間) に Docker コンテナ 等で使用する runc に関する脆弱性 (CVE-2019-5736) が公開されました。本脆弱性を悪用して細工したコンテナをユーザが実行した場合、ホスト上の runc バイナリが意図せず上書きされます。結果として、コンテナが起動しているホスト上で root 権限でコマンドが実行できるようになります。 なお、本脆弱性の実証コードは 2019年2月12日現在公開されていませんが、報告者によると実証コードは 2019年2月18日 (現地時間) に公開予定とのことです。 本脆弱性を悪用するコンテナは次のようなケースが想定されています。 1) 攻撃者により改変されたイメージファイルを用いて作成されたコンテナ 2) 攻撃者が書き込み権限を取得している既存のコンテナ 本脆弱性は 2019年2月12日時点で runc のすべてのバージョンが

<<< JPCERT/CC WEEKLY REPORT 2018-11-21 >>> ■11/11(日)〜11/17(土) のセキュリティ関連情報 目　次 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】複数のサイボウズ製品に脆弱性 【4】Android アプリ「みずほ銀行　みずほダイレクトアプリ」に SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】IPA が「中小規模向けIoT品質確認チェックリスト」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2018/wr184501.txt https://www.jp

<<< JPCERT/CC WEEKLY REPORT 2018-05-09 >>> ■04/22(日)〜05/05(土) のセキュリティ関連情報 目　次 【1】Drupal に任意のコードが実行可能な脆弱性 【2】複数の Cisco 製品に脆弱性 【3】複数の Apple 製品に脆弱性 【4】PHP に複数の脆弱性 【5】Windows Host Compute Service Shim ライブラリに任意のコードが実行可能な脆弱性 【6】Joruri Gw に任意のファイルをアップロード可能な脆弱性 【7】株式会社セルシス製の複数の製品のインストーラに DLL 読み込みの脆弱性 【8】複数の WordPress 用プラグインにクロスサイトスクリプティングの脆弱性 【9】Knot Resolver にサービス運用妨害 (DoS) の脆弱性 【今週のひとくちメモ】「Internet Week

2017年9月18日、システムクリーニングツールである CCleaner が改ざんを受け、マルウエアが混入されていたことを開発元の Piriform が発表しました。国内外で報道がなされていることもあり、確認を進めている利用者も多いと考えています。 Piriform Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users https://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users JPCERT

各位 JPCERT-AT-2017-0033 JPCERT/CC 2017-09-06(新規) 2017-09-07(更新) <<< JPCERT/CC Alert 2017-09-06 >>> Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170033.html I. 概要 Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性 (CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理 することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行 される可能性があ

JPCERT/CCでは、Active Directoryが侵害されることによって被害が拡大する高度サイバー攻撃の事例を多数確認しており、これらの事例のなかには、脆弱性に対処していなかったり、ログが適切に保存されていなかったりしたために、被害状況の調査が困難なケースが多くみられました。 高度サイバー攻撃においてActive Directoryへの攻撃の検知は、深く侵害されるか否かの分岐点となります。検知が遅れると被害拡大の一途をたどるため、早期に検知し攻撃の流れを断つことが重要です。 本文書は、Active Directoryへの攻撃を効果的に検知するための方法と、そのために理解しておくべき攻撃手法の概略について記述した解説書です。これまでJPCERT/CCが数多くの高度サイバー攻撃の対応支援をとおして得られた知見を次のようなポイントでまとめています。 - Active Directoryへ

<<< JPCERT/CC WEEKLY REPORT 2016-03-16 >>> ■03/06(日)〜03/12(土) のセキュリティ関連情報 目　次 【1】複数の Microsoft 製品に脆弱性 【2】複数の Adobe 製品に脆弱性 【3】ISC BIND にサービス運用妨害 (DoS) の脆弱性 【4】複数の Cisco 製品に脆弱性 【5】OpenSSH にコマンドインジェクションの脆弱性 【6】Mozilla Firefox に複数の脆弱性 【7】Apple Software Update に脆弱性 【8】Citrix License Server に脆弱性 【9】Quagga にバッファオーバーフローの脆弱性 【今週のひとくちメモ】IPA が「2015年度 中小企業における情報セキュリティ対策に関する実態調査 報告書」を公開 ※紹介するセキュリティ関連情報の選定基準は以下

<<< JPCERT/CC WEEKLY REPORT 2016-02-10 >>> ■01/31(日)〜02/06(土) のセキュリティ関連情報 目　次 【1】PHP に複数の脆弱性 【2】Windows 版 Oracle Java に脆弱性 【3】WordPress に複数の脆弱性 【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題 【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題 【今週のひとくちメモ】「CSIRT 人材セミナー」開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp